HTB — USB Ripper
Forense, un área que no toco muy seguido pero este reto parece interesante, nos facilitan 2 archivos
- auth.json
- syslog
Buscando en google encontré un script en python usbrip.
Algo que no sabia es sobre los eventos de USB, pero me toco aprender un poco y se puede tener reglas y logs sobre los dispositivos USB en un sistema linux. (la herramienta es solo para linux)
Al inicio fue algo confuso los comandos pero luego fui entendiendo un poco.
# Se puede sacar una tabla con el historial de los eventos de USB.
usbrip events history -f syslog# El comando anterior puede guardar todo en un archivo history.json para luego poder ver.
usbrip events open history.json
Después de ver varias veces la documentación encontré el comando adecuado con las opciones bien realizadas.
usbrip events violations auth.json -f syslog
Ahora que tenemos esta información lo que se me ocurrió fue ver si el hash de SerialNumber era un md5 y luego ver a la cadena que pertenecía.
Listo.
Happy Hacking.